웹하드, 인터넷 쇼핑몰 등 다양한 웹 사이트 바로가기 아이콘을 바탕 화면에 등록하는 "바로방문 아이콘(LIVE ICON)" 프로그램이 지속적으로 배포되고 있으며, 프로그램이 설치된 환경에서 추가적인 제휴 프로그램을 설치 유도하는 행위가 확인되고 있습니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 아이템베이 바로방문 라이브 아이콘 (2012.6.19)
▷ 검색 도우미 : 라이브 아이콘(Live Icon) - 홈플 바로ON (2013.6.15)
이에 파일브이 웹하드의 제휴 프로그램으로 설치되는 "파일브이 바로방문 혜택 아이콘"을 통해 자세하게 살펴보도록 하겠습니다.
1. "파일브이 바로방문 혜택 아이콘" 프로그램 정보
파일브이 웹하드 프로그램에 포함된 제휴 프로그램으로 설치되는 "파일브이 바로방문 혜택 아이콘" 프로그램은 "C:\Program Files\FileV\setup-filev.exe" 파일(SHA-1 : 3cb47cbc584be1eae1111903535f164c3a04b23d)로 설치 파일을 생성하여 다음과 같이 프로그램을 설치합니다.
C:\Program Files\WebHardIcon
C:\Program Files\WebHardIcon\bin
C:\Program Files\WebHardIcon\bin\ExUpdateHelper.exe :: 업데이트 창 생성 파일
C:\Program Files\WebHardIcon\bin\WebHardIconHelper.exe :: 바로가기 아이콘 실행 파일
C:\Program Files\WebHardIcon\bin\WebHardIconLauncher.exe :: 시작 프로그램 등록 파일, 프로그램 삭제 파일
C:\Program Files\WebHardIcon\bin\WebHardIconService.exe :: 메모리 상주 프로세스
C:\Program Files\WebHardIcon\config
C:\Program Files\WebHardIcon\config\filev.cfg
C:\Program Files\WebHardIcon\config\WebHardIcon.ini
C:\Program Files\WebHardIcon\ico
C:\Program Files\WebHardIcon\ico\filev_20140402174522.gif
C:\Program Files\WebHardIcon\ico\filev_70.ico
C:\Program Files\WebHardIcon\ico\u_filev.ico
C:\Program Files\WebHardIcon\ico\WebHardIcon.ico
C:\Program Files\WebHardIcon\logs
C:\Program Files\WebHardIcon\logs\WebHardIconLauncher.exe.log
C:\Program Files\WebHardIcon\logs\WebHardIconService.exe.log
C:\Program Files\WebHardIcon\temp
C:\Program Files\WebHardIcon\update
C:\Users\(사용자 계정)\Desktop\[파일브이] 50% 할인 + 100% 특별적립 이벤트.lnk
"TCOMMS Co,Ltd" 디지털 서명이 포함된 "파일브이 바로방문 혜택 아이콘" 프로그램은 "C:\Program Files\WebHardIcon" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\WebHardIcon\bin\WebHardIconLauncher.exe" 파일(SHA-1 : ad0bf598426f05ed339c705ae06e5fc4e7d3e3a0)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일(WebHardIconLauncher.exe)은 업데이트 서버에서 프로그램 버전 체크(C:\Program Files\WebHardIcon\temp\app_version.cfg)를 통해 ZIP 압축 파일을 다운로드하여 다음의 폴더 내의 파일을 업데이트 할 수 있습니다.
- C:\Program Files\WebHardIcon\bin
- C:\Program Files\WebHardIcon\config
- C:\Program Files\WebHardIcon\ico
이후 WebHardIconLauncher.exe 파일은 웹 서버에서 "C:\Program Files\WebHardIcon\logs\filev.nfo" 파일을 체크하여 추가적인 업데이트 정보가 존재할 경우 "C:\Program Files\WebHardIcon\bin\ExUpdateHelper.exe" 파일(SHA-1 : 66a68875eff9cc1c38a98f859d21a1013dbfcfd0) 실행을 통해 다음과 같은 동작을 수행할 수 있습니다.
생성된 "바로방문 혜택 아이콘(파일브이) 업데이트" 창에서는 "탑스페이스" 제휴 프로그램의 설치를 유도하고 있습니다.
프로그램이 설치된 환경에서는 바탕 화면에 "[파일브이] 50% 할인 + 100% 특별적립 이벤트" 바로가기 아이콘이 생성되어 사용자가 바로가기 아이콘을 클릭할 경우 "C:\Program Files\WebHardIcon\bin\WebHardIconHelper.exe" 파일(SHA-1 : 96471df4103ab1ce9a3a7dc5817b0782545fed65) 실행을 통해 파일브이 웹하드 사이트로 접속을 유도하고 있습니다.
또한 WebHardIconLauncher.exe 파일 실행을 통해 추가 로딩되어 메모리에 상주하는 WebHardIconService.exe 파일(SHA-1 : 0435de59f518ed475d2bb07f631531f8f178ecbc)은 10분 주기로 바탕 화면에 생성된 바로가기 아이콘 구성값 정보(C:\Program Files\WebHardIcon\temp\filev.pop)을 체크합니다.
"파일브이 바로방문 혜택 아이콘" 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 WebHardIconService.exe 프로세스를 찾아 종료하시기 바랍니다.
그 후 제어판에 등록된 "파일브이 바로방문 혜택 아이콘" 삭제 항목을 클릭하여 생성된 "바로방문 아이콘(LIVE ICON) 제거" 창에서 "지금 제거합니다" 버튼을 통해 프로그램을 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WebHardIcon = C:\Program Files\WebHardIcon\bin\WebHardIconLauncher.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WebHardIcon_filev
HKEY_LOCAL_MACHINE\SOFTWARE\TComms
HKEY_LOCAL_MACHINE\SOFTWARE\WebHardIcon
2. "Topspace11 Windows IE Platform" 프로그램 정보
"파일브이 바로방문 혜택 아이콘" 프로그램의 업데이트 기능을 통해 생성된 "바로방문 혜택 아이콘(파일브이) 업데이트" 창에 포함된 제휴 프로그램 중 "탑스페이스(TopSpace)" 프로그램이 설치될 수 있습니다.
"C:\Program Files\WebHardIcon\bin\ExUpdateHelper.exe" 파일 동작을 통해 특정 서버에서 탑스페이스(TopSpace) 설치 파일<SHA-1 : b71ccfb93b1c3aece8b742c2c2b7f7758df7086c - AhnLab V3 : PUP/Win32.TopSpace (VT : 3/49)>을 다운로드하여 "C:\Program Files\WebHardIcon\temp\setup-topspace11.exe" 파일로 생성된 후 다음과 같은 프로그램을 설치하고 자가 삭제 처리됩니다.
C:\Program Files\TopSpace11
C:\Program Files\TopSpace11\banner
C:\Program Files\TopSpace11\bin
C:\Program Files\TopSpace11\bin\TopSpace11Helper.exe :: 시작 프로그램 등록 파일, 프로그램 삭제 파일
C:\Program Files\TopSpace11\bin\TopSpace11Service.exe :: 메모리 상주 프로세스
C:\Program Files\TopSpace11\bin\TopSpaceHelper.ico
C:\Program Files\TopSpace11\config
C:\Program Files\TopSpace11\download
C:\Program Files\TopSpace11\logs
C:\Program Files\TopSpace11\logs\20140421
C:\Program Files\TopSpace11\logs\20140421\20140421-TopSpaceHelper.log
C:\Program Files\TopSpace11\logs\20140421\20140421-TopSpaceService.log
C:\Program Files\TopSpace11\temp
"TCOMMS Co,Ltd" 디지털 서명이 포함된 "Topspace11 Windows IE Platform" 프로그램은 "C:\Program Files\TopSpace11" 폴더에 파일을 생성하며, Windows 시작시 [C:\Program Files\TopSpace11\bin\TopSpace11Helper.exe UPDATE] 파일(SHA-1 : 0c5196a370524d26c7a315bbc88930881a1660f9)을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
- h**p://download.***space.co.kr/topspace11/TopSpace11Helper-1.11.exe (SHA-1 : 8c0123733dff17a1ac964aa36cbe37bc16ef0bf4)
- h**p://download.***space.co.kr/topspace11/TopSpace11Service-1.11.exe (SHA-1 : 0310b5112e9ec7699434425e82a61093b363f1f7)
실행된 TopSpace11Helper.exe 파일은 특정 서버에서 TopSpace11Helper.exe, TopSpace11Service.exe 파일 버전을 체크한 후 "C:\Program Files\TopSpace11\bin\TopSpace11Service.exe" 파일(SHA-1 : d6aa611dde5c4d47c9d192c7ea9d26c493201352)을 추가 로딩하여 메모리에 상주시킵니다.
프로그램이 설치된 환경에서 사용자가 인터넷 검색시 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.
해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 TopSpace11Service.exe 프로세스를 찾아 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "Topspace11 Windows IE Platform" 삭제 항목 실행을 통해 생성된 "탑 스페이스 제거" 창의 "지금 제거합니다" 버튼을 통해 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- TopSpace11 = C:\Program Files\TopSpace11\bin\TopSpace11Helper.exe UPDATE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
TopSpace11
HKEY_LOCAL_MACHINE\SOFTWARE\TComms
HKEY_LOCAL_MACHINE\SOFTWARE\TopSpace11
▷ <2012 ~ 2013년 상반기 관련 정보> 검색 도우미 : Topspace5 Windows IE Platform (2013.5.24) 외 4종
▷ 검색 도우미 : Topspace6 Windows IE Platform (2013.7.25)
▷ 검색 도우미 : Topspace7 Windows IE Platform (2013.11.4)
▷ 검색 도우미 : Topspace8 Windows IE Platform (2013.12.25)
▷ 검색 도우미 : Topspace9 Windows IE Platform (2013.12.25)
탑스페이스(TopSpace) 검색 도우미 시리즈는 "Topspace(숫자) Windows IE Platform"와 같은 패턴으로 다양한 변종이 "C:\Program Files\TopSpace(숫자)" 폴더에 설치되고 있으므로, 프로그램이 설치되어 불편을 겪지 않도록 주의하시기 바랍니다.